可以黑掉半个中国互联网的安全漏洞

admin 2021年9月10日19:08:37评论91 views字数 397阅读1分19秒阅读模式

1,目标确定

万网帐号为不可预测的存数字ID,攻击者通过电话对客服进行了欺骗,谎称自己是乌云站点管理人员,登陆ID忘记,希望提供。客服人员在没有确认来电者有效身份情况下,就将乌云的万网数字登陆ID提供给攻击者。

可以黑掉半个中国互联网的安全漏洞


2,攻击尝试

攻击者利用了一个乌云上警告了很久的案例---手机验证码爆破漏洞。对万网仅仅4位的纯数字手机验证码成功突破,在不知道域名管理者手机的情况下,利用手机重置密码功能强行修改了密码。

可以黑掉半个中国互联网的安全漏洞


3,大功告成

之后攻击者又找到另一个更严重的漏洞,通过修改请求中的用户ID,即可修改任意用户的绑定为自己的手机,然后直接重置密码。此后,合法用户将无法在找回自己帐号所有权。

可以黑掉半个中国互联网的安全漏洞


4,巨大影响

国内很多互联网巨头都在使用万网的DNS服务,如腾讯等。因漏洞通知及时,所以并未造成大面积的影响,但也对国内互联网企业与服务商安全状况敲响了警钟。

本文始发于微信公众号(乌云漏洞报告平台):可以黑掉半个中国互联网的安全漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年9月10日19:08:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   可以黑掉半个中国互联网的安全漏洞https://cn-sec.com/archives/486494.html

发表评论

匿名网友 填写信息